C5:2026 – Der neue Kriterienkatalog ist da

In seiner Pressemitteilung vom 7. April 2026 verkündete das Bundesamt für die Sicherheit in der Informationstechnik (BSI), dass der Cloud Computing Compliance Criteria Catalogue (C5) in der neuen Version 2026 zur Verfügung steht.

Gründe für die Überarbeitung

Die Vorgängerversion stammt aus dem Jahr 2020. Seitdem haben sich zahlreiche technische Fortschritte sowie neue Entwicklungen ergeben. Sowohl gesetzliche als auch regulatorische Vorgaben, wie u. a. die Umsetzung der NIS-2-Richtlinie sowie internationale Normen wie die CSA Cloud Controls Matrix Version 4 und die ISO/IEC 27001:2022 zeigen deutliche Veränderungen, was die Anforderungen an die Informationssicherheit betrifft. Auf Grundlage dessen, und unter Berücksichtigung der Rückmeldungen zahlreicher C5-Interessenvertreter in einer Community-Feedback-Runde, wurde der neue C5:2026 erstellt (vgl. BSI – C5:2026).

Die wichtigsten Änderungen im Überblick

Allgemeine Änderungen

Der Kriterienkatalog, erhältlich als PDF, als Excel-Tabelle sowie in maschinenlesbarer Form, wurde zunächst in Englisch veröffentlich, da er weltweit Anwendung findet. Die deutsche Übersetzung soll noch in diesem Quartal erfolgen.

Zusätzlich zu neuen und überarbeiteten Basiskriterien wird nun bei den Zusatzkriterien zwischen „additional complement“ und „additional sharpen“ unterschieden. Während ersteres das Basiskriterium ergänzt, ersetzt das verschärfte Zusatzkriterium vollständig das Basiskriterium.

Bei den Änderungen sind zahlreiche Anpassungen vorgenommen worden, um Struktur und sprachliche Feinheiten zu überarbeiten. So werden die Anforderungen der Kriterien genauer spezifiziert, u. a. was Datentypen, Rollen und Häufigkeiten betrifft (vgl. BSI – C5:2026).

Die Änderungen können auch detailliert in einem Changelog nachgelesen werden. Ebenso wie bei der Vorgängerversion, will das BSI beim C5:2026 wieder eine Kreuzreferenztabelle zu internationalen Standards zur Verfügung stellen. Diese wird bis Mitte des Jahres erwartet.

Überblick über Änderungen innerhalb der Kriterien

Organisation of Information Security (IOS)
Zusammenfassend werden detailliertere und umfangreichere Organisationspflichten bzgl. des Anwendungsbereiches, der Informationssicherheitspolitik sowie der Schnittstellen gefordert. Das Basiskriterium „Threat Intelligence“ wurde eingeführt. Darüber hinaus wurden die Risikomanagementkriterien angepasst sowie die Informationssicherheit in Projekten berücksichtigt.
Security Policies and Procedures (SP)
In diesem Bereich wurden spezifischere Anforderungen zur Review Häufigkeit sowie ergänzende Anforderungen für Ausnahmen, deren Genehmigung und Überwachung gestellt.
Personnel (HR)
Kriterien hinsichtlich Rollen, Qualifikationen, Vertragsbedingungen, Schulungen sowie Disziplinarmaßnahmen wurden angepasst.
Asset Management (AM)
Kriterien für Rahmenbedingungen für ein Assetmanagement (Definition und Identifikation sowie Verwaltung von Assets), einschließlich Anforderungen an Hard- und Softwareinventare wurden aufgenommen.
Physical Security (PS)
Die Sicherheitsanforderungen für den Arbeitsplatz, die sowohl eigene als auch fremde Büroräumlichkeiten umfasst, wurden neu in den Kriterienkatalog verankert. Zugangskontrolle, Sichtschutz, sichere Entsorgung, Verbot von Drittanbietergeräten, Absicherung durch Einbruchalarme sowie Überwachungskameras gehören dazu.
Operations (OPS)
Neue Basiskriterien zum Management von Vorfällen und Abstürzen, einschließlich dazugehöriger Richtlinien und Prozeduren, ihrer Umsetzung sowie dem Schwachstellenmanagement wurden in den C5:2026 aufgenommen. Außerdem werden die Themen „Confidential Computing“ (Zweck, Anwendungsbereich, Verantwortlichkeiten, Maßnahmen und deren Umsetzung) und „Container Management“ (Richtlinien und Prozeduren sowie Implementation) weiterführend behandelt.
Identity and Access Management (IAM)
In diesem Bereich finden sich neue Zusatzkriterien im Rahmen des Zugangsmonitorings und für das Inventar von privilegierten Rechten.
Cryptography and Key Management (CRY)
Die prominentesten Änderungen der Basis- und Zusatzkriterien beziehen sich u. a. auf Richtlinien zur Verwendung von Kryptographie, zum Änderungsmanagement sowie zur sicheren Aufbewahrung und Archivierung. Darüber hinaus wurden Vorgaben zur externen Schlüsselverwaltung und zur sicheren Handhabung von kundenseitig verwalteten Schlüsseln ergänzt.
Communication Security (COS)
Die Nutzung von Verschlüsselung, die dem aktuellen Stand der Technik entspricht, wenn administrative Netzwerke von anderen Netzwerken nicht physisch getrennt werden können, wurde als neues Zusatzkriterium für die Kommunikationssicherheit erstellt.
Portability and Interoperability (PI)
Das neue Zusatzkriterium betrifft die Sicherheit von Ein- und Ausgabeschnittstellen.
Procurement, Development and Modification of Information Systems (DEV)
An dieser Stelle wurden sowohl neue Basis- als auch Zusatzkriterien verankert. Diese betreffen die Fremdvergabe von Entwicklungsleistungen, die Dokumentation von Sicherheitsfunktionen sowie das Festhalten und Überprüfen von Änderungen. Darüber hinaus wurden Anforderungen an Test-, Entwicklungs- und Produktionsumgebungen sowie Transparenzpflichten hinsichtlich eingesetzter Softwarekomponenten und der sicheren Verwendung von Hard- und Software von Drittanbietern ergänzt.
Control and Monitoring of Service Providers and Suppliers (SSO)
Bei der Nutzung von Dienstleistern legen die neuen Basis- und Zusatzkriterien einen besonderen Fokus auf die Sicherheit der Daten sowohl des Cloud‑Anbieters als auch der Cloud‑Kunden. Im Mittelpunkt stehen dabei die transparente Darstellung der Datenflüsse auf Dienstleister sowie die Kontrolle und Abnahme der am Datenaustausch beteiligten funktionalen Dienstleister-Komponenten durch den Cloud‑Anbieter.
Security Incident Management (SIM)
Das neue Basiskriterium fordert das Vorhalten von Plänen zum Umgang mit Sicherheitsvorfällen.
Business Continuity Management (BCM)
Im Bereich des BCMs wurden keine neuen Basis- oder Zusatzkriterien bereitgestellt.
Compliance (COM)
Die neuen Zusatzkriterien verlangen die Identifikation von gesetzlichen, regulatorischen, selbstauferlegten und vertraglichen Anforderungen sowie die Berichterstattung über die Leistung und die Managementbeurteilung zur Informationssicherheit bzw. zum Informationssicherheits-Managementsystem (ISMS).
Dealing with Investigation Requests from Government Agencies (INQ)
Die technische Dokumentation der Bereitstellung bzw. Offenlegung von Kundendaten aufgrund valider Untersuchungsanfragen sowie die Überwachung des Zugangs und der Aktivitäten von Ermittlern durch den Cloud-Anbieter wurden neu aufgenommen.
Product Safety and Security (PSS)
Hier hat das BSI neue Zusatzkriterien zur Vorwarnung des Kunden bezüglich geplanter Änderungen durch den Cloud-Anbieter sowie zur geographischen Region: Verarbeitung und Vorhaltung von Daten in den C5:2026 aufgenommen.

Bedeutung für bestehende Testate

Das BSI hat für bestehende C5:2020-Testate eine Übergangsfrist vorgesehen. Typ-1-testierte Organisationen sollen bis zum 1. Juni 2027 die Kriterien des C5:2026 anwenden, während der Betrachtungszeitraum für Typ-2 ab dem 1. Juni 2027 startet.

Es ist nicht vorgesehen, dass Kriterien aus dem C5:2020 und dem C5:2026 vermischt werden, wenn der Betrachtungszeitraum für Typ-2-Testate vor dem Stichtag beginnt, aber nach diesem endet.

Für den Fall, dass ein Betrachtungszeitraum am oder nach dem 28. Februar 2027 endet, sind Cloud-Anbieter dazu verpflichtet, zusätzliche Informationen über die geplante Änderungen relevanter Kriterien zur Verfügung zu stellen (vgl. BSI – C5:2026).

Fazit

Wie die Allianz Commercial in ihrem „Allianz Risk Barometer 2026“ berichtet, steht bei den zum Thema Cybersicherheit befragten Unternehmen die Befürchtung von Unterbrechungen des Geschäftsbetriebs durch Störungen oder Ausfälle von Cloud-Plattformen weiterhin im Vordergrund. Dass diese Befürchtung nicht weit hergeholt ist, sieht man an den Störungen, die mehrere große Cloud-Anbieter im letzten Jahr hatten. Betroffen waren u. a. AWS, das PlayStationNetwork und Cloudflare (vgl. Ookla: The World’s Biggest Outages of 2025).

Folglich ist aufgrund der weiterhin großen Bedeutung von Cloud-Anbietern und der Nutzung sowie Abhängigkeit von ihren Diensten, die Weiterentwicklung des C5 eine logische Folge. Erkennbar – wie an den neu in den C5:2026 integrierten Kriterien zum Asset Management oder dem Thema Remote Work – ist eine deutliche Anlehnung an die Anforderungen aus der ISO/IEC 27001:2022. Nach der Veröffentlichung der bereits oben erwähnten C5:2026 Kreuzreferenztabelle zu internationalen Normen, wird für Organisationen dann die Möglichkeit bestehen, Synergien für das Informationssicherheitsmanagement ihrer Cloud-Dienstleistungen zu schaffen.

Anmerkung der Redaktion: In einer früheren Version hieß es, dass die C5:2026 Kreuzreferenztabelle bereits veröffentlicht sei. Dies haben wir korrigiert.

Pia Lämmerhirt | 20. April 2026 | Informationssicherheit | BSI, C5-Testat, C5:2020, C5:2026, Cloud, Cloud Computing Compliance Criteria Catalogue, CSA, Cybersicherheit, Dienstleister, Informationssicherheit, Kommunikationssicherheit, Kriterienkatalog, NIS-2-Richtlinie, Verschlüsselung | 2 Kommentare

2 Comments

Lisa Heye
23. April 2026 @ 7:33

Vielen Dank für Ihren Beitrag, der viele wichtige Änderungen zusammenfasst!
Einziger Hinweis ist, dass die von Ihnen erwähnte Kreuzreferenztabelle von uns auch sehnlichst erwartet wird, jedoch noch nicht vorliegt. Die hier – und auch vom BSI – verlinkte Kreuzreferenztabelle ist lediglich der Changelog, der die Änderungen zum alten C5 adressiert. So wie wir es verstehen, wird die Kreuzreferenztabelle vom BSI voraussichtlich bis Ende des ersten Halbjahres veröffentlicht.

- Blogredaktion
  23. April 2026 @ 11:42
  
  Vielen Dank für Ihren Hinweis. Wir haben dies entsprechend in dem Artikel angepasst.
  
  Mit freundlichen Grüßen
  Ihre Blogredaktion